Entre ciber ataques y ciber explotaciones. Tormenta perfecta para un CPO.
- 03/02/2016
- Internacional
Por Jeimy Cano, Ph.D, CFE Jeimy Cano, Ph.D, CFE
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS.
En un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), el oficial de privacidad se encuentra en una encrucijada de contradicciones y en medio de una tormenta perfecta. En este escenario dar cumplimiento a las exigencias normativas, demanda no solamente comprender lo que el marco de actuación exige, sino descubrir y aprender del contexto que lo acompaña para asegurar ese derecho fundamental, tan amenazado en un entorno hiperconectado y digitalmente modificado (Porter y Heppelmann, 2015).
La tormenta perfecta donde navega el oficial de privacidad responde a una lógica disruptiva de intervenciones en el ciber espacio: ciber ataques y ciber explotaciones. Las primeras, son actos deliberados contra los datos, el software o hardware en sistemas de cómputo o redes y las segundas, están asociadas con la obtención de información a través de inteligencia o actividades de espionaje (Shamsi, Zeadally y Nasir, 2016).
Estas dos tensiones que enfrenta el CPO (Chief Privacy Officer – Oficial de Privacidad de Datos), generan sensibilidades a nivel de las naciones y las empresas, como quiera que los ciber ataques comportan actividades que comprometen infraestructuras críticas y no críticas, cuya finalidad puede terminar en la exposición de datos personales, muchos de ellos sensibles, como se pudo evidenciar en el caso de Sony (Pagliery, 2014).
De igual forma, las ciber explotaciones, como estrategias silenciosas, donde un tercero a través de mecanismos tecnológicos, deliberadamente capturan datos y mantienen seguimiento de las actividades de una persona o grupo de personas, establecen referentes de pérdida de control de la información personal, las cuales son capitalizadas por grandes corporaciones, bien para obtener información sobre las preferencias de las personas o para capturar datos relevantes de su propiedad intelectual.
Un ejemplo de lo anterior se puede observar al instalar un add-on, creado y distribuido de forma gratiuta, por la Electronic Frontier Foundation denominado Privacy Badger, que no es otra cosa que una pieza de código que se incrusta en el navegador para revelar como terceros de manera silenciosa siguen los rastros y preferencias al navegar, sin el consentimiento de los ciudadanos, información que es luego comercializada y adquirida por grandes corporaciones, generalmente con intereses comerciales.
Así las cosas, el CPO debe estar atento a la creciente manifestación del lado oscuro de la revolución digital (Kane, 2016), una presencia desordenada y oculta, que trata por todos los medios de provocar flujos de información personal que inclinen la balanza de los beneficios exclusivamente hacia aquellos que procuran un uso de los datos más allá de los autorizados. En este sentido, el oficial de privacidad, debe emprender una cruzada educativa que aumente la resistencia de sus clientes frente a estos “depredadores” de datos.
De igual forma, el CPO consciente de: la creciente necesidad de los gobiernos por aumentar la vigilancia de las actividades de los individuos en aras de la seguridad nacional, la respuesta natural de las personas hacia el uso del anonimato y formas de protesta digitales (Landwehr, 2016), así como el incremento global de las preocupaciones del tema de cumplimiento regulatorio en la protección de los datos (Kleinhempel, 2015), debe mantener una lectura cercana de la construcción social de la privacidad, como quiera que no hacerlo, estaría ignorando los acuerdos tácitos y explícitos donde las personas deciden compartir o no sus datos basados en los riesgos y beneficios que implica esta acción en un escenario digital.
En consecuencia, cinco elementos deben mantener en su radar, para construir una estrategia dinámica de protección de datos, fundada en las prácticas de las personas, con el fin de asegurar un consentimiento digital informado, donde los individuos se apropien de su responsabilidad y hagan valer su derecho frente a los datos personales.
La privacidad es un derecho personalísimo, por tanto los actos e interacciones de los individuos para compartir los datos en un entorno digital, definen su nivel protección.
El control de acceso debe combinarse con el control de uso. Mientras el primero es una regla que consulta la sensibilidad de la información, la segunda establece los impactos para el individuo y la empresa.
Los riesgos propios de la privacidad en los entornos digitales, definen y actualizan las prácticas personales y corporativas para proteger los datos personales.
Los productos y servicios digitalmente modificados deben incluir mecanismos de transparencia digital, que hagan evidente el flujo de datos personales desde y hacia los terceros, es decir, digitalmente responsable (Cano, 2016).
La recolección y tratamiento de grandes volúmenes de datos, bien recolectados de forma abierta o no, debe estar asistida por un riguroso ejercicio que balancee el derecho fundamental de los individuos, así como los riesgos y beneficios de quien hace su tratamiento.
Referencias
Cano, J. (2016) ¿Eres una empresa digitalmente responsible? Recuperado de: https://www.linkedin.com/pulse/eres-una-empresa-digitalmente-responsable-jeimy-cano-ph-d-cfe
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers
Kane, G. (2016) The dark side of the digital revolution. Sloan Management Review. January.
Kleinhempel, M. (2015) Los desafíos de compliance en los mercados emergentes. IESE Insight. IV Trim.
Landwehr, C. (2016) Privacy research directions. Communications of the ACM. 59, 2. Febrero. 29-31
Pagliery, J. (2014) Las 5 claves del ciberataque contra Sony Pictures. CNN en Español. Recuperado de: http://cnnespanol.cnn.com/2014/12/09/las-5-claves-del-ciberataque-contra-sony/
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.
Shamsi, J., Zeadally, S. y Nasir, Z. (2016) Interventions in cyberspace: status and trends. IEEE IT Professional. Enero/Febrero.
